Sono in procinto di creare un contenitore Docker solo SFTP , che verrà utilizzato da più persone al solo scopo di caricare e gestire i file nel proprio chroot
ambiente ed.
Sulla carta, è abbastanza sicuro: disabiliterò ogni forma di bash
accesso e non eseguirò nessun altro processo al suo interno. Tuttavia, vorrei renderlo ancora più duro:
Voglio impedire a questo contenitore di accedere a Internet dall'interno, tranne per il suo scopo di essere un server SFTP.
Per chiarire le cose: so come impedire al mondo esterno di accedere al mio contenitore: posso impostare le iptables
regole in entrata e posso esporre solo la porta SFTP nel mio comando run docker.
Tuttavia vorrei far fallire il seguente comando (come esempio), quando eseguito all'interno del contenitore:
curl google.com
La mia intenzione è di ridurre la quantità di danno che un contenitore hackerato può fare (non potendo essere utilizzato per inviare e-mail di spam, ecc.).
--net=none
flag docker run
disattiverà tutte le schede di rete esterne, consentendo di aggiungere le proprie e personalizzare le regole del traffico di rete.